盈高入网规范管理系统介绍.
ASM入网规范管理系统_准入控制技术快速配置手册
ASM盈高入网规范管理系统网络联动控制快速配置手册INFOGO A ccess S tandard M anagement SystemVer 2010.0831版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录第一章策略路由快速配置 ---------------------------------------------------------------------------- 31.1ASM系统界面配置------------------------------------------------------------------------- 31.1.1网卡配置 --------------------------------------------------------------------------- 31.1.2策略路由参数配置---------------------------------------------------------------- 31.2网络联动设备配置 ------------------------------------------------------------------------ 51.2.1CISCO交换机配置 --------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------ 61.2.2.1 policy-based-route方法配置 -------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------- 71.2.2.4 traffic-redirect方法配置----------------------------------------------- 81.2.3华为交换机配置------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置-------------------------------------------------- 81.2.3.2 traffic-redirect方法配置----------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------- 9第二章VG虚拟网关快速配置---------------------------------------------------------------------- 102.1ASM系统界面配置 -------------------------------------------------------------------- 102.1.1网卡配置---------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置------------------------------------------------------------- 102.2网络联动设备配置 ------------------------------------------------------------------- 13 第三章EOU认证技术快速配置 -------------------------------------------------------------------- 143.1ASM系统界面配置 -------------------------------------------------------------------- 143.1.1 网卡配置 ------------------------------------------------------------------------- 143.1.2 EOU参数配置------------------------------------------------------------------- 143.2网络联动设备配置 ------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 --------------------------------------------------------------- 194.1ASM系统界面配置 -------------------------------------------------------------------- 194.1.1网卡配置---------------------------------------------------------------------------- 194.1.2 PORTAL参数设置 ----------------------------------------------------------------- 194.2网络联动设备配置 ------------------------------------------------------------------- 21 第五章透明网桥快速配置 -------------------------------------------------------------------------- 225.1ASM系统界面配置 -------------------------------------------------------------------- 225.1.1网卡配置---------------------------------------------------------------------------- 225.1.2透明网桥参数配置----------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址:ETH0与联动网络设备相连,配置的IP 地址作为策略路由的下一跳地址;ETH2配置的IP地址需要全网或者控制的网段能够访问。
盈高入网规范管理系统策略路由快速配置手册
盈高入网规范管理系统策略路由快速配置手册INFOGO A ccess S tandard M anagement System未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1.ASM系统界面配置 (1)1.1网卡参数配置 (1)1.2产品界面个性化定制 (1)2.组织架构与人员信息创建 (2)2.1角色创建 (2)2.2组织架构管理 (2)2.3用户管理 (3)3.准入技术选择 (3)3.1准入模式选择 (3)3.2例外参数添加 (4)3.3NAT穿越配置 (5)4.网络相关配置 (6)4.1设备部署示意图 (6)4.2交换机策略路由命令 (7)4.3防火墙端口开放 (8)5.入网流程配置 (9)5.1开启身份认证 (9)5.2控件安装设置 (10)5.3开启注册审核 (10)5.4安全检查设置 (12)6.交换机联动管理 (12)7.告警信息配置 (13)1.ASM系统界面配置1.1网卡参数配置启用 ETH0 和 ETH2 两块网卡并配置 IP 地址:ETH0 与联动网络设备相连,配置的 IP地址作为策略路由的下一跳地址;ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。
界面操作步骤:点击“系统设置”---“IP地址设置”,如下图:图1. 网卡参数配置1.2产品界面个性化定制设置准入设备基本信息:单位名称、界面名称显示等。
点击“系统设置”---“产品个性化定制”,如下图:图2. 网卡参数配置2.组织架构与人员信息创建2.1角色创建创建“角色”,盈高ASM将根据角色将人员、部门与角色一一对应起来,便于后续准入策略的下发、网络访问权限的控制等灵活控制。
ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。
点击“用户管理”---“角色列表”---“添加角色”,如下图:图3. 添加角色2.2组织架构管理创建各单位的部门组织架构。
点击“用户管理”---“组织架构树”---“添加新组织架构”,创建部门,如下图:图4. 创建部门ASM支持组织架构以excel方式批量导入,模板中所使用字体均全部使用宋体,如下图:图5. 批量导入部门2.3用户管理创建本地用户名、密码,用户单位人员入网的身份认证。
准入控制ASM盈高入网规范管理系统
非法设备连入内网
外来人员终端(来宾,上级检查,第三方维护人员) 内部员工私人电脑或内外网终端混用 非法设备联入内网的黑客行为等.
内部合法电脑存在风险和漏洞,安全性偏低,感染率高
未安装杀毒软件或病毒库未更新 重要性的补丁未打 终端其他安全设置问题(guest用户,密码等) 无法提供很好的全网终端修复手段
严Hale Waihona Puke 违规设备立即隔离多种修复手段支持
安全域划分
角色绑定安全域
入网时间控制
基于规则匹配模式的的安全检查引擎,支持安全规 则的不断更新,确保安全检查的健壮性
拥有丰富的系统缺省检查规则库,并支持自定义和 系统规则库的升级,便于应对层出不穷的安全隐患
独创的Agentless安全检查模式,既可以方便部署又 可以满足安全要求
根据状态评估结果 采取措施,隔离设 备,并使其符合策 略
访问控制 与策略管理
轻松创建能快速应 用于用户组和角色 的全面、精确的策 略
如果没有 它...
难以将用户与设备 关联起来,执行何 种策略,防止设备 欺骗。
从无限使用网络到 受限使用,必然会 带来抵触情绪。
仅知道某一设备不 符合安全策略是不 够的—必须有人修 复它。
回 顾与讨 论
盈高ASM入网规范管理系统介绍
什么是 ASM
ASM的 体系架
构
ASM的 主要功
能
ASM的 技术特
色
ASM是盈高精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写 重点突出“违规不入网、入网必合规” 经过优化的安全操作系统平台,电信级硬件产品 是经过国内领先的大规模无客户端模式
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持.方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based—Routing)、MVG的各种实现方案.系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
ASM
准入流程
准入的功能在于验证内网设备的身份和安全性。
规范落实
接入控制,资产收集
部分典型用户
•金融业 电力行业
•乐清电厂 •天荒坪抽水蓄能发电有限公司 •长兴电厂 •大唐湘潭发电有限责任公司 •温州电厂 •舟山市电力局 •鄞州供电局 •奉化供电局 •宁海供电局 •临海供电局 •临安供电局 •平湖供电局 •海盐供电局 •龙游供电局 •余姚供电局 •义乌供电局 •东阳供电局 •浦江供电局 •萧山供电局 •富阳供电局 •临安供电局 •… •浙江省进出口银行 •中国银监会浙江省监管局 •绍兴银行 •华夏银行杭州分行 •华夏银行绍兴分行 •广发银行(杭州分行) •中信实业银行(杭州分行) •天津市商业银行 •贵州省农信 •山西长治农信 •…
谢谢观赏
1、目前内网安全现状
2、与传统防火墙的区别
3、盈高ASM准入控制系统优势
与传统防火墙等安全产品的不同点?
传统防火墙
外网安全产品
准ห้องสมุดไป่ตู้控制管理系统
内网安全产品
1、目前内网安全现状
2、与传统防火墙的区别
3、盈高ASM准入控制系统优势
ASM盈高入网管理规范系统
盈高ASM入网规范管理系统是一套基于最先进的第三代准入控制技术的纯硬 件准入控制系统,秉承“不改变网络、不装客户端”的特性,为您解决网络
准入控制的合规性要求,达到“违规不入网、入网必合规”的管理规范。
ASM盈高入网规范管理系统
朱振鸿
1、目前内网安全现状
2、与传统防火墙的区别
3、盈高ASM准入控制系统优势
ASM入网规范管理系统-准入控制技术快速配置手册
ASM 盈高入网规范管理系统网络联动控制快速配置手册INFOGO A ccess S tandard M anagement SystemVer 2010.0831版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第一章策略路由快速配置------------------------------------------------------------------------------------- 31.1ASM系统界面配置--------------------------------------------------------------------------------- 31.1.1网卡配置 ----------------------------------------------------------------------------------- 31.1.2策略路由参数配置----------------------------------------------------------------------- 31.2网络联动设备配置 -------------------------------------------------------------------------------- 51.2.1CISCO交换机配置 ---------------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------------- 61.2.2.1 policy-based-route方法配置------------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------------- 71.2.2.4 traffic-redirect方法配置 ---------------------------------------------------- 81.2.3华为交换机配置-------------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置 ------------------------------------------------------- 81.2.3.2 traffic-redirect方法配置 ---------------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------------- 9 第二章VG虚拟网关快速配置 ------------------------------------------------------------------------------ 102.1ASM系统界面配置----------------------------------------------------------------------------- 102.1.1网卡配置 ------------------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置 -------------------------------------------------------------------- 102.2网络联动设备配置 ---------------------------------------------------------------------------- 13 第三章EOU认证技术快速配置----------------------------------------------------------------------------- 143.1ASM系统界面配置----------------------------------------------------------------------------- 143.1.1 网卡配置 ---------------------------------------------------------------------------------- 143.1.2 EOU参数配置 --------------------------------------------------------------------------- 143.2网络联动设备配置 ---------------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 ----------------------------------------------------------------------- 194.1ASM系统界面配置----------------------------------------------------------------------------- 194.1.1网卡配置 ------------------------------------------------------------------------------------- 194.1.2 PORTAL参数设置-------------------------------------------------------------------------- 194.2网络联动设备配置 ---------------------------------------------------------------------------- 21 第五章透明网桥快速配置------------------------------------------------------------------------------------ 225.1ASM系统界面配置----------------------------------------------------------------------------- 225.1.1网卡配置 ------------------------------------------------------------------------------------- 225.1.2透明网桥参数配置------------------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址:ETH0与联动网络设备相连,配置的IP 地址作为策略路由的下一跳地址;ETH2配置的IP地址需要全网或者控制的网段能够访问。
ASM盈高入网规范管理系统操作手册V精编
ASM盈高入网规范管理系统INFOGO A ccess S tandard M anagement System操作手册版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1.说明 -----------------------------------------------------------2.ASM设备外观图解------------------------------------------------3.登录方式--------------------------------------------------------4.操作界面说明----------------------------------------------------4.1首页------------------------------------------------------4.2模块界面--------------------------------------------------5.用户首次配置----------------------------------------------------5.1启用旁路模式----------------------------------------------5.2启用串联模式----------------------------------------------5.3系统基本设置---------------------------- 错误!未定义书签。
5.4邮件提醒--------------------------------------------------5.5短信提醒设置----------------------------------------------5.6部门管理--------------------------------------------------5.7注册与认证------------------------------------------------5.7.1安全域配置---------------------------------------------5.7.1认证角色管理-------------------------------------------5.7.1用户管理-----------------------------------------------5.7.1来宾认证参数-------------------------------------------5.7.1全局参数设置-------------------------------------------5.7.1注册参数配置----------------------------------------- 145.7.1认证参数配置-------------------------------------------5.7.1用户名密码认证-----------------------------------------5.7.1UKey认证----------------------------------------------5.7.1手机短信认证-------------------------------------------5.7.1Email认证---------------------------------------------5.7.1LDAP服务器配置----------------------------------------5.7.1AD域认证参数设置--------------------------------------5.7.1身份认证记录-------------------------------------------5.7.1动态验证码获取记录-------------------------------------5.8配置入网规范----------------------------------------------5.8.1标准行业入网规范库-------------------------------------5.8.2自定义规范---------------------------------------------5.8.3高级属性-----------------------------------------------5.9配置网络联动控制------------------------------------------5.9.1EOU认证技术设置---------------------------------------5.9.2PORTAL认证技术设置------------------------------------5.9.3透明网桥设置-------------------------------------------5.9.4策略路由设置-------------------------------------------5.9.5MVG网关设置-------------------------------------------5.10配置双机热备----------------------------------------------6.用户日常使用----------------------------------------------------6.1新设备注册检查--------------------------------------------6.2审核接入设备----------------------------------------------6.3设备管理--------------------------------------------------添加可信设备-------------------------------------------取消可信设备-------------------------------------------设备安装软件信息---------------------------------------6.4隔离设备--------------------------------------------------6.5设备和用户绑定--------------------------------------------6.6立刻认证安检----------------------------------------------6.7信息导入--------------------------------------------------6.8IP地址池------------------------------------------------- 36.9IP/MAC绑定------------------------------------------------添加IP/MAC绑定----------------------------------------导入IP/MAC绑定---------------------- 错误!未指定书签。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统补丁管理
……..
软件安装检查
进程运行检查
桌面管理系统客户端检查 “一键式”智能傻瓜修复方式 内网边界管理 报警响应+统计报表 CA认证系统 AD域 4A系统 第三方接口
Radius
网 络 访 问 授 权 管 理
网络 资源
SOC管理平台
LADP
Syslog
接入
身份验证
拒绝接入
否
合法?
不支持① 支持
Cisco EOU
支持 支持
Portal
支持 支持
DHCP 强制
支持 支持
串联
支持 支持
安全检查
权限分配 边界安全 数据流量影 响 单点故障 网络设备 要求
支持
不支持 支持 不影响 支持
支持
支持 不支持 上行数据 支持
支持
不支持 支持 不影响 支持②
支持
支持 支持 不影响 支持
支持
不支持 不支持 不影响 支持
支持
在分配IP 之前支持 支持 不影响 支持
支持
支持 不支持 影响 支持
可网管交 换机
支持策略 路由
均支持 802.1X
CISCO 品牌
H3C 品牌
较高
无
产品特点——用户收益
全方位终端安全管理,解决CIO关注的问题
入 网 规 范 管 理 系 统
1
保护终端安全更保护业务系统的安全 确保网络安全管理制度的落实
H3C Portal /Portal+
CISCO EOU
ASM
VPN
DHCP强 制
802.1X
Firewall
ASM支持多种Enforcement强制技术,最大限度 的适应企业的网络实际环境
实现机制——准入技术扩展功能比较
准入技术 重定向 身份验证 虚拟网关
支持 支持
策略路由
支持 支持
802.1X
产品功能——能做什么
• 根据多年的终端安全建设经验,我们提出了包括“身份 认证―安全检查—修复加固—授权访问”的整体解决思 路。
策略检查 敏感资源
核心资源
阻止 隔离修复 非授权用户 不安全用户
授权访问
一般资源
盈高入网规范管理系统(ASM)
用户管理+安全角色管理 终端安全性检查(健康性检查)
防病毒软件检查 双 实 名 制 身 份 认 证
2
3
强化内部工作人员安全意识
…案简化终端维护工作
…
终 端 可 控 安 全 高 效
ASM案例分析 某商业银行
需求:接入内网终端 的身份合法性、健康 性以及访问的权限做 控制和管理。
ASM案例分析 某省财政系统
需求:做到二层接入 控制,不希望安装强 大的客户端。 做到省、 市两级数据平台级联, 分级分区域管理;可 以统一管控平台。
盈高入网规范管理系统介绍
ASM盈高入网规范管理系统介绍
ASM产品介绍
ASM产品功能
ASM部署方式
ASM实现机制
ASM产品特点
产品介绍——什么是ASM
• 基于Appliance-based准入技术的入网规范管理产品
• 计算机终端接入网络的“门禁系统”
• 无需安装客户端,采用Agentless模式 • 经过优化的安全操作系统平台,电信级硬件产品 • “违规不入网、入网必合规”
是
合规性检查
否
合规?
修复
是 允许入网 (访问授权)
管理平台
9
管理平台
AD、LDAP等联动认证
内网边界管理功能
部署方式——逻辑示意图
实现机制—支持多种Enforcement强制技术
DNS Proxy Multivendor Virtual 策略路由 Gateway PBR Bridge